Banking Trojan Trickbot kreeg een module voor het onderscheppen van het verkeer van een besmette machine.
Nau, de malware is in staat om zijn eigen injecties te injecteren in de verzonden tussen de website van de financiële instelling en de cliënt apparaatgegevens.Deskundigen wijzen erop dat de uitbreiding van de mogelijkheden was het resultaat van de samenwerking van de auteurs van het programma met de ontwikkelaars van een andere bankier – IcedID.
beveiligingsexpert Brad Duncan ontdekt voorheen onbekende module, terwijl het analyseren van de payload geleverd door Ursnif malware.
De specialist bleek dat de bijgewerkte versie van Trickbot injecteert de shadnewDll dynamische bibliotheek in het geïnfecteerde systeem, die verantwoordelijk is voor het veranderen van het webverkeer. De kwaadaardige component heeft zijn eigen configuratiebestand en is bedoeld voor MITB aanvallen. De module werkt met Internet browsers Chrome, Firefox, Internet Explorer en Edge.
“De infectie keten begint met een kwaadaardige Office Word-document, die zet een PowerShell script om de Ursnif trojan downloaden. De gastheer gecompromitteerd op deze manier krijgt ook de Trickbot variant met de BokBot / IcedID proxy-module die kunnen onderscheppen en webverkeer”te wijzigen, - zei Brad Duncan.
Studie van de code van de geopenbaarde talrijke toevalligheden de nieuwe module met de broncode van BokBot banking Trojan, ook gekend als IcedID. De specialisten ontdekte dat de malware de functies van een lokale proxyserver en kan inbrengen eigen scripts in het verkeer verzonden naar het apparaat. Dus, aanvallers in staat zijn om te laten zien op het scherm van het slachtoffer nep vormen voor het invoeren van financiële informatie of referenties.
Vorig jaar werd bekend dat de exploitanten IcedID en Trickbot begon gezamenlijke aanvallen uit te voeren, het leveren van twee kwaadaardige programma's om het doel apparaat tegelijk. Security specialisten hebben geconcludeerd dat een dergelijke samenwerking is ontworpen om de effectiviteit van cyber campagnes met behulp van de sterke punten van elk programma te verhogen.
Integratie van de ontwikkelingen op het niveau van kwaadaardige componenten kan een nieuwe fase van deze samenwerking aan te geven.
Echter, experts uit FireEye, van mening dat de medewerking van cybercriminelen niet beperkt is tot deze.
“De TrickBot beheerdergroep, die wordt verdacht te zijn gebaseerd in Oost-Europa, de meeste kans bieden de malware naar een beperkt aantal cybercrimineel actoren om gebruik in de activiteiten,” – verklaarde onderzoek FireEye's.
Zoals GanbCrab recente ervaring heeft getoond, dergelijke modellen van het combineren van slechteriken in cyberspace kan echt gevaarlijk en doeltreffend zijn.
